コンテンツへスキップ

Exabeam AIエージェントの行動分析およびAIセキュリティポスチャーインサイトのための初の接続されたシステムを発表。続きを読む

デモを見る

ファイアウォールログの意義と役割

  • 6 minutes to read

目次

    ファイアウォールは、それが保護するために開発された環境に出入りするトラフィックを監視します。ファイアウォールの中には、この環境に入ってくるトラフィックのソースやタイプを可視化するものもある。ファイアウォールはルールを使って設定される。ファイアウォールを成功させるためには、ファイアウォールのルールセットをロギング機能で補強する必要があります。

    ログ機能は、ファイアウォールがどのようにトラフィックタイプを管理するかを記録します。ログは、例えば、送信元と宛先のIPアドレス、プロトコル、ポート番号などの情報を組織に提供し、SIEMが攻撃を調査するために使用することができます。

    この用語解説について:

    このコンテンツは、イベントロギングに関するシリーズの一部です。

    ファイアウォールのログ

    ファイアウォールは、最も基本的な形で、疑わしいネットワークからの接続を阻止するために作られる。すべての接続の送信元アドレス、宛先アドレス、宛先ポートを検査し、そのネットワークが信頼できるかどうかを判断します。

    簡単のために、送信元アドレス、送信元ポート、宛先アドレスとポートに関する情報を集約することができる。この情報は、ファイアウォールによって追跡される、接続の試みの識別品質として見ることができる。

    この品質は、どの接続が許可され、どの接続が拒否されなければならないかを決定する一連のルールに似ている。この識別品質が許可された接続と同じ情報を保持している場合、ソースアドレスは、許可されたポート上の宛先アドレスとの接続を作成することができます。したがって、トラフィックはネットワークに許可される。

    したがって、ファイアウォールの成功は、通常、ファイアウォールの設定に使用されるルールに依存する。

    ファイアウォールは、それが保護するために作成された環境に出入りするトラフィックを監視し、この環境に入るトラフィックのタイプとソースを可視化します。ファイアウォールは通常2つの目的を果たす:

    • 内部および外部(インターネット)からの脅威から環境を守る
    • 侵害がどのようにファイアウォールに侵入したかを追跡する必要があるセキュリティ専門家のための調査リソースとして機能する。

    最も効果的であるためには、ファイアウォール・ルールセットは、成功したロギング機能で補強されなければならない。

    ログ機能は、ファイアウォールがどのようにトラフィックタイプを処理するかを記録します。これらのログは、例えば、送信元と宛先のIPアドレス、プロトコル、ポート番号に関する洞察を提供します。

    ファイアウォールのロギングが有用な場合とその理由

    • 新しいファイアウォールルールがうまく機能するかどうかを確認したり、うまく機能しない場合にデバッグしたりする。
    • ネットワーク内で悪意のある活動が発生しているかどうかを発見する。しかし、アクティビティの発生源を特定するために必要な情報は得られません。
    • あるIPアドレス(またはIPアドレスのグループ)からファイアウォールへのアクセスが何度も失敗することが確認された場合、そのIPからのすべての接続を停止するルールを作成することをお勧めします。
    • 内部サーバー、例えばウェブ・サーバーから派生する発信接続は、誰かがあなたのシステムを発射台として使っていることを示すかもしれない。彼らは、あなたのシステムから他のネットワーク上のコンピュータに対して攻撃を仕掛けている可能性があります。

    Linuxファイアウォールのログ

    Linuxカーネルには、netfilterと呼ばれるパケット・フィルタリング・フレームワークがある。このフレームワークにより、システムに出入りするトラフィックを許可、ドロップ、変更することができる。iptablesというツールは、この機能をファイアウォールでさらに強化するもので、ルールを使って設定することができる。fail2banのような追加プログラムも、攻撃者をブロックするためにiptablesに依存している。

    iptablesはどのように機能するのか?

    iptablesは、netfilterのパケットフィルタリング機能に対するコマンドラインインターフェイスである。しかし、この記事ではiptablesとnetfilterを区別しない。物事を明確にするために、この概念全体をiptablesと呼ぶことにする。

    iptablesが提供するパケットフィルタリング機能は、テーブル、ターゲット、チェーンという構造になっている。簡単に言えば、テーブルによってパケットを特定の方法で処理することができる。フィルタテーブルはデフォルトのテーブルです。
    チェーンはこれらのテーブルに接続されている。これらのチェーンを使って、さまざまなポイントでトラフィックを監視することができる。トラフィックがネットワーク・インターフェイスに到着した時点や、あるプロセスに引き渡される前の時点のトラフィックを見ることができる。また、チェーンにルールを追加して、特定のパケット、例えばポート70に向かうTCPパケットにマッチさせ、ターゲットに接続することもできる。ターゲットは、そのパケットを許可するかブロックするかを決定する。

    パケットが(チェーンに従って)出入りすると、iptablesはそれをチェーンのルールと一度に1つずつ比較する。一致するものが見つかると、ターゲットを分離し、必要なアクションを実行します。どのルールとも一致しない場合は、そのチェーンのデフォルトポリシーで指定されたアクションを実行します。デフォルト・ポリシーはターゲットとしても機能する。デフォルトでは、すべてのチェーンはパケットを許可するポリシーを持っている。

    iptableファイアウォールのログの処理と解釈

    ファイアウォールログを作成するには、カーネルがファイアウォールログを有効にする必要があります。デフォルトでは、マッチしたパケットはkern.warn(優先度4)メッセージ。ログの優先順位は--log-levelオプションで-j LOG.

    IPパケットヘッダーフィールドの大部分は、パケットがLOGターゲットを持つルールにマッチしたときに開示される。デフォルトでは、ファイアウォールのログメッセージは /var/log/messages に書き込まれます。

    Windowsファイアウォールのログ

    マイクロソフト・ウィンドウズにはファイアウォールが内蔵されている。デフォルトでは、ファイアウォールはトラフィックを記録しない。しかし、許可された接続やドロップされたトラフィックを記録するようにファイアウォールを設定することができます。Windowsファイアウォールのログを許可すると、ファイアウォールはディレクトリ階層に "pfirewall.log "ファイルを作成します。Windowsファイアウォールのログファイルはメモ帳で見ることができます。

    Windows10のファイアウォールのログを有効にする方法

    高度なセキュリティのWindowsファイアウォールに移動します。高度なセキュリティのWindowsファイアウォールを右クリックし、プロパティをクリックします。

    ファイアウォールログの意義と役割
    図1:ロギングとトラッキングの設定方法:出典

    Windows Firewall with Advanced Security Propertiesボックスが表示されるはずです。

    ファイアウォールプロファイルは、ドメイン、プライベート、パブリックの間で移動できます。一般的には、ドメインまたはプライベートプロファイルを設定する必要があります。Windows Firewall プライベートプロファイルで Windows Firewall ログを作成する方法を見てみましょう。以下の手順はパブリックプロファイルでもドメインでも使えます。

    プライベートプロフィール > ログ > カスタマイズをクリックします。

    ファイアウォールログの意義と役割
    図2:ロギングとトラッキングの設定方法:出典

    ドロップされたパケットのログを記録する」を「はい」に切り替える。

    通常、「Log Dropped Packets」のログのみを記録します。成功した接続は一般的に問題解決にあまり役に立たないため、成功した接続のログは記録しません。

    ログファイルのデフォルトパスをコピーする。( %systemroot%system32↩LogFiles﹑﹑pfirewall.log ) をコピーし、OKを押します。

    ファイル・エクスプローラーを開き、Windowsファイアウォールのログが保存されている場所に行く。Firewallフォルダに、pfirewall.logがあります。

    pfirewall.logをデスクトップにコピーしてください。これでファイアウォールの警告を出さずにファイルを開くことができます。

    ウィンドウズファイアウォールログの解釈

    Windowsファイアウォールのログは以下のようになります:

    以下は、上記のログの重要な側面の分析である:

    1. 接続の日時。
    2. 接続はどうなったか。「Allow "はファイアウォールが接続を許可したことを意味し、"drop "は接続を阻止したことを意味する。
    3. 接続の種類、TCPまたはUDP。
    4. 接続元のIP(あなたのPC)、接続先のIP(ウェブページなどの受信者)、あなたのPCで使用されているポート。これを使って、ソフトウェアを動作させるために開く必要があるポートを特定することができます。また、不審な接続はマルウェアの可能性があるため、注意が必要です。
    5. この接続が、あなたのコンピューターがデータ・パケットを受信しているのか、送信しているのかを示す。
    詳細はこちら:

    ログ集計についての詳しい説明を読む。

    ファイアウォールのログを分析する方法

    ファイアウォールのロギング、特に許可されたイベントのロギングは、潜在的なネットワーク・セキュリティの脅威を発見するのに役立つ。組織は一般に、自由にアクセスされるべきではない資産に厳格な保護を課している。これには、社内ネットワークや従業員のワークステーションが含まれる。一般的に、これらのシステムへの仲介されないインバウンド接続は許可されません。

    ファイアウォールのログ解析のポイント

    ファイアウォールのログを収集し、ログを分析するプロセスを開始したら、ログから何を探すかを決めることができます。有害な」イベントだけを探すのは控えるべきです。ファイアウォールのログは、侵害やインシデントを切り分けるのに役立つだけでなく、ファイアウォールの通常のオペレーションを特定するのにも役立ちます。

    ログに記録された動作が疑わしいかどうかを確認する一つの方法は、通常の操作がどのようなものかを確認し、次に例外を記録することである。

    いくつかの出来事は常に疑惑を引き起こし、さらなる調査を促すものである。それらは以下の通りである:

    • 認証許可
    • トラフィックの低下
    • ファイアウォール停止・起動・再起動
    • ファイアウォール設定の変更
    • 管理者権限の付与
    • 認証に失敗
    • 管理者セッション停止

    Exabeamによるログ解析とアラート機能

    ログ管理および次世代SIEM

    ログ管理は困難であり、ネットワーク・デバイス、マイクロサービス、クラウド・サービス、エンドポイントの急速な増加、データとトラフィック量の膨大な増加により、ますます困難になっている。

    次世代のセキュリティ情報・イベント管理(SIEM)ソリューションは、セキュリティ関連のログ・イベントの管理を支援し、セキュリティ・インシデントに関連するイベントを知るのに役立ちます。

    次世代SIEMの特徴:

    • 履歴ログを無制限に保持できるセキュリティ・データレイク。
    • ユーザーとエンティティの行動分析技術により、行動分析による脅威検出を向上。
    • 自動化されたインシデント対応機能。インシデントの調査、封じ込め、緩和を自動化するためのプレイブックを介したサービス統合を提供する。
    • 高度なデータ探索機能。ログを調べることで、セキュリティアナリストの脅威探索活動を支援することができる。

    Exabeamについてもっと知る

    ホワイトペーパー、ポッドキャスト、ウェビナーなどのリソースで、Exabeamについて学び、情報セキュリティに関する知識を深めてください。